Fout in beveiligingsprotocol treft veel netwerkproducten

Door een fout in een beveiligingsprotocol dat door verschillende netwerkproducten gebruikt wordt, zijn heel wat netwerken vatbaar voor DoS-aanvallen en buffer overflows. Het lek in kwestie bevindt zich in het Internet Security Association and Key Management Protocol dat onder andere geïmplementeerd is in IPsec-vpn-producten en firewalls van bedrijven als Cisco en Juniper. Wanneer iemand misbruik maakt van de fout, is hij in staat het netwerkverkeer dat via het apparaat loopt te vertragen en zelfs helemaal onmogelijk te maken. In bepaalde gevallen kan een hacker zelfs controle krijgen over een apparaat, aldus het Britse National Infrastructure Security Co-ordination Centre. Het ISAKMP wordt gebruikt om beveiligde verbindingen te leggen via het internet en is een belangrijk onderdeel van IPsec.

VPN-plaatjeDit laatste is op zijn beurt een veelgebruikt protocol om een vpn aan te leggen, bijvoorbeeld voor werknemers die niet in het bedrijf zelf werken maar wel verbinding willen maken met het interne bedrijfsnetwerk. Cisco en Juniper hebben beiden bevestigd dat een aantal van hun producten vatbaar zijn voor misbruik. Bij Cisco gaat het op de Cisco IOS, Cisco PIX Firewall, Cisco Firewall Services Module, Cisco VPN 3000 Series Concentrators en de Cisco MDS Series SanOS, die door de fout steeds opnieuw heropgestart kunnen worden, wat een Denial-of-Service veroorzaakt. Gebruikers van een van deze systemen kunnen een gratis patch downloaden bij Cisco.

Bij Juniper gaat het om de M-serie, T-serie, J-serie en E-serie routers en de meeste versies van de Junos- en JunoSe Security-software. Een woordvoerder van Juniper stelt dat men al sinds juni op de hoogte is van het probleem en dat alle software die na 28 juli vrijgegeven werd, gepatcht is om dit probleem op te lossen. Op Linux wordt voor heel wat IPsec-implementaties software van het Openswan Project gebruikt en ook deze code bevat de fout. Gebruikers van deze software kunnen dan ook versie 2.4.2 downloaden van de website om zichzelf te beschermen tegen misbruik van dit lek.

Door Yoeri Lauwers

Eindredacteur

Feedback • 16-11-2005 10:12
23 • submitter: remy007

16-11-2005 • 10:12

23

Submitter: remy007

Bron: News.com

Lees meer

Lek in Cisco-software treft 17.000 Nederlandse routers
Lek in Cisco-software treft 17.000 Nederlandse routers Nieuws van 21 september 2016
Microsoft neemt VPN-specialist Whale over
Microsoft neemt VPN-specialist Whale over Nieuws van 19 mei 2006
Software bestempelt vijf procent internetverkeer als onveilig
Software bestempelt vijf procent internetverkeer als onveilig Nieuws van 6 maart 2006
'VPN-wachtwoorden van Cisco makkelijk te decoderen'
'VPN-wachtwoorden van Cisco makkelijk te decoderen' Nieuws van 17 oktober 2005
Beveiligingsupdates juni: Apple 11 - Microsoft 10
Beveiligingsupdates juni: Apple 11 - Microsoft 10 Nieuws van 11 juni 2005
Cisco integreert beveiligingsfuncties in één apparaat
Cisco integreert beveiligingsfuncties in één apparaat Nieuws van 5 mei 2005
VPN-technologie speelt marginale rol
VPN-technologie speelt marginale rol Nieuws van 14 december 2002
Meer producten en artikelen
Bedrijfsnieuws

Reacties (23)

-Moderatie-faq
23
21
12
6
2
5
Wijzig sortering
Rukapul 16 november 2005 14:21
Een vreemd nieuwsbericht. Het start met 'een fout in een beveiligingsprotocol', maar vervolgens wordt er alleen ingegaan op diverse implementaties welke last hebben van bufferoverflows (en afgeleide DoS attacks).

ISAKMP is een verschrikkelijk complex protocol (design by consensus) met teveel opties. Het maken van een compliant implementatie is dan ook niet eenvoudig, maar intrinsiek onveilig is niet aangetoond in dit bericht (flaw in het protocol zelf).

De complexiteit maakt het wel waarschijnlijker dat er fouten worden gemaakt bij de implementatie, zoals uit dit bericht blijkt. Ik vraag me alleen af of een deel van de vendors wellicht dezelfde implementatie als basis heeft gebruikt. Grote afwezige in het lijstje is Racoon, de ISAKMP daemon van de BSD familie, welke voorop liepen met implementatie van IPsec en verwante protocollen (Kame project), en welke in het verleden ook z'n problemen heeft gekend (plust dat de code niet prettig leest).

Dat Microsoft claimt geen producten te voeren met ISAKMP verbaast me aangezien MS wel degelijk IKE ondersteunt op haar OS (UDP poort 500) voor IPsec. Kan wel zijn dat ze het wel hebben, maar niet vulnerable zijn.
Mizitras @Rukapul16 november 2005 17:26
Vakjargon, Engelse woordenschat en ideëen, allen tesamen in de droogtrommel.. Het lijkt chique, maar veel heb ik er nu ook niet aan met dit zo te lezen. Sorry
Parasietje @Mizitras16 november 2005 18:29
Niet akkoord... Het nieuwsbericht zelf is al redelijk 'pro' (IPSec is niet voor een gewone thuisgebruiker weggelegd), en de poster stelt zich gewoon de vraag waarom er wordt gezegd dat er een fout in het protocol zit. Het protocol is gewoon slecht geïmplementeerd in veel programma's, waardoor die programma's kwetsbaar zijn. Hij vraagt zich af waarom de BSD-implementatie dat niet is.
Rembert 16 november 2005 11:09
Een gedetailleerde advisory met daarin ook de reacties van vendors en een test-programma:

http://www.niscc.gov.uk/n...0051114-01014.pdf?lang=en

Een testsuite met zeer gedetailleerde uitleg waar een hardcore tweaker van gaat kwijlen en alle andere tweakers acuut het venster zullen willen sluiten (niet doen, vrijwel onderaan staan links naar de jar files)

http://www.ee.oulu.fi/res...rotos/testing/c09/isakmp/
gumkop 16 november 2005 10:31
Voor de goede orde, Microsoft producten schijnen geen last te hebben van de bug.
Gerco @gumkop16 november 2005 10:33
Microsoft maakt ook geen Ipsec VPN routers. Windows Server 2003 schijnt een soortgelijke functie wel te hebben, hopelijk bevat die niet ook de bug.
MahRain @Gerco16 november 2005 10:49
Windows Server 2003 gebruikt standaard PPTP in plaats van IPSec. IPSec zie je vaker bij unix en afgeleide producten.
Pmf1971 @MahRain16 november 2005 10:53
PPTP wordt voornamelijk gebruikt voor Client to gateway tunnels. Ik heb gezien hoe mensen PPTP gebruiken voor gateway to gateway tunnels, maar dat is omslachtig en onzinnig.

IPSec is bij uitstek geschikt voor gateway to gateway tunneling.

En ja ook win2k3 ondersteunt IPSec policies. Mooier nog, het in de router van win2k3 ingebouwd. Met IPSec policies kun je rules aanmaken welke packets wel, en welke niet encrypted moeten worden en waar ze heen gestuurd moeten worden. Geweldig systeem, ook al is het van MS.

IPSec wordt als een van de beste tunneling protocols gezien.
martijnvanegdom @MahRain16 november 2005 15:32
Het niet is specifiek een MS iets maar gewoon een protocool, zoiets draait hier op mijn OpenBSD server ook
Pmf1971 @Gerco16 november 2005 10:45
Microsoft ondersteunt sinds windows 2000 (ook PRO) IPSec tunneling policy, om niet alleen via internet te encrypten maar ook tussen werkstations onderling op een LAN en kan zowel preshared keys gebruiken als certificates.
Bor Coördinator Frontpage Admins / FP Powermod 16 november 2005 12:28
En hoe zit het met de implementaties van IPsec in de soho routers als Draytek etc? Veel van deze zullen ook vatbaar zijn omdat ze een op linux gebaseerd OS draaien.
Verwijderd @Bor16 november 2005 13:03
Nou, bel Draytek.
Oh wacht, daar hebben ze van die belachelijk slechte support heh? Dat is dan janken, want het kan wel eens een maandje gaan duren voor die routers beveiligd raken. In mijn geval betekent het dat ik alle Vigortjes ontdoe van hun IPSec tunnels en maar zolang over PPTP lan2lan mag gaan bouwen ( :r )
AuteurYoeri @Verwijderd16 november 2005 10:18
Weer een lek maar deze x bij Cisco
Heb je wel gelezen? Het lek zit in een protocol dat toevallig ook bij Cisco gebruikt wordt, maar ook bij zo goed als alle andere fabrikanten. Cisco heeft hier eigenlijk niets mee te maken dus.
sta je mooi te kijken als je geen controle meer over hebt
Haal je router van het internet, reboot en klaar is kees :?
Verwijderd @Yoeri16 november 2005 10:24
na je reboot behoud je nog telkens dezelfde problemen hoor dat iemand em kan overnemen.

Maar deze 'foutjes' zitten ook in Draytek, USR, Linksys, SMC, 3Com etc etc produkten waar IPSEC tunnels ondersteund worden
VisionMaster @Verwijderd17 november 2005 01:45
@SpyroInc
Nou ... dat zijn 'andere' fouten in hetzelfde deelgebied. Niet dezelfde problemen. (ok ok ... misschien ben ik een mierenneuker, maar ik wil naar een leuk punt komen... :+)

Volgens mij ... is dit nogsteeds Cisco's probleem in hun hardware op o.a. het management gebied van deze producten. Want ... je kan ze vaak ook nog beheren (handig...!) met Cisco tools of telnet of ssh terminal sessies. De lol daarvan was dat je een ex-werknemer bij Cisco een verhaaltje heeft gepresenteerd over allerlei problemen van Cisco, wat die moest terug geven aan het bedrijf. Maar ... deze problemen deze zich voor in verschillende generaties van verschillende type router producten. En misschien dus ook van deze producten lijn...
Er saiant detail is natuurlijk dat het hier vooral om beveilgingsproducten gaat en niet om infrastructurele producten... iets wat mij erg lekker 'veilig' laat voelen.

Niet te min dat een VPN server een zeer valse voor onder stelling kan geven aan iemands netwerk over veiligheid. Ik kan me herinneren van een bedrijf (naam niet te noemen) geen firewall had achter de VPN tunnel om het bedrijfsnetwerk te beschermen van allerlei crap van ieders laptops ... hilarisch hoe er vanalles binnen sloop in het netwerk |:( :9~ :+
Verwijderd 16 november 2005 10:54
Een fout in een protocol!
Dat hoor je niet vaak.
Een programmeerfout, dat hoor je wel vaker.
Maar een fout in een protocol..goh! :+
Mizitras @Verwijderd16 november 2005 17:24
Gelukkig is het protocol en werking ermee nooit 'geprogrammeerd' hé... |:(
rammes 16 november 2005 13:08
ik zoek op cisco de update voor de vpn3000 series maar ik kan het nergens vinden. iemand een direct linktje? ik denk dat je er meer mensen plezier mee doet
rberkenpas 16 november 2005 14:07
hmmmm. wellicht off topic, maar ik hoor niets over linksys, toch een cisco division.
ik heb een routertje van hen, ik maak een vpn verbinding van overal naar mijn eigen netwerk.

dat ik niets hoor over deze bug, kan ik dan automatisch vanuit gaan dat Linksys apparatuur niet vatbaar is??
Sir Guinhill 16 november 2005 18:22
Hmm, ik vraag me af of Hamachi VPN daar ook vatbaar voor is.


voor zo ver ik heb kunnen ontdekken :P, kan ik daar verders niets zinnigs over zeggen
Mizitras @Verwijderd16 november 2005 17:23
Enkel blinde mensen kopen perfectie voor een spotprijsje :-/

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq